Home > Analisa Virus > Vobfus.4472: Pasukan Pendownload Malware

Vobfus.4472: Pasukan Pendownload Malware

Vobfus.4472 Pasukan Pendownload MalwareWorm dengan kemampuan mengubah struktur body dari dirinya ini merupakan malware yang memiliki kemampuan penyebaran yang begitu tinggi. Berbekal teknik mengubah hash dirinya sendiri dan dengan mengandalkan removable drive dan network drive sebagai media penyebaran, worm ini cukup mudah menginfeksi komputer lain.

Dengan teknik penyebarannya ini, worm ini berusaha mendownload malware lain untuk tujuan lain seperti pencurian data. Kenapa harus mendownload malware lain terlebih dahulu? Hal ini tentunya agar malware baru tersebut tidak mudah terdeteksi oleh antivirus karena hanya aktif di komputer yang terinfeksi secara tersembunyi.

Vobfus.4472 memiliki ciri khas icon Windows Media Player dan icon Notepad dan mengkopikan diri ke flashdisk dengan nama-nama berikut:

– MyDocuments.exe
– Password.exe
– Porn.exe
– Secret.exe
– Porn.exe
– Sexy.exe

Bagi orang awam, menarik bukan jika mendapatkan file tersebut di flashdisk yang dijumpainya?

Worm ini berusaha melakukan koneksi TCP ke ns1.spansearcher.net dan 213.249.64.211 melalui port 8000.

Vobfus.4472 juga memodifikasi registry dengan menonaktifkan Windows Update:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\
NoAutoUpdate

Untuk aktif di setiap startup, worm ini membuat registry dengan nama acak:

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\

Worm ini juga mengakibatkan data Anda di flashdisk menghilang karena atribut file/folder diubah menjadi tersembunyi.

PCMAV 9.6 dengan PCMAV 9.6 Core Update terbaru telah dapat mendeteksi dan membasmi worm Vobfus.4472.

  1. PC Ranger
    January 8th, 2014 at 17:03 | #1

    PCMAV tetap yang terbaik!

  2. January 12th, 2014 at 20:11 | #2

    bantu saya dong bagaimana cara menghilangkan virus yang menginfeksi runonce.exe , saya sudah instal ulang beberapa kali tapi tetap saja ada .

    terimakasih sebelumnya

  3. Indra
    January 12th, 2014 at 23:39 | #3

    @dejan andi s

    PCMAV 9.6 sudah bisa membersihkan virus Chir.B atau runonce

  4. January 24th, 2014 at 00:28 | #4

    sekedar tambahan virus ini tidak menginveksi file yang di compress dan data yg terhiden seperti yang di katakan tadi bisa di atasi dengan sm*d*v biasa atau dengan sofware “hiden file tool” (cari sendiri di google). jika di dalam flashdisk ada file .exe maka file tersebut hilang thanks